Microsoft Purview ネットワーク データ セキュリティを使用すると、組織は、1 つ以上の統合されたセキュリティで保護されたアクセス サービス エッジ (SASE) ソリューションとの統合を通じて、HTTP トラフィックと HTTPS トラフィックに対する保護を監視、分類、適用できます。
- プレビューでは、グローバル セキュリティで保護されたアクセスを使用したネットワーク ファイル フィルター処理 (ファイルのみ)。 ネットワーク ファイルのフィルター処理の詳細については、「 ネットワーク ファイルのコンテンツをフィルター処理するためのファイル ポリシーの作成 (プレビュー)」を参照してください。
- 一般的な可用性では、サードパーティの SASE ネットワーク セキュリティ ソリューション (テキストとファイル) との統合が可能です。
この機能では、保護にMicrosoft Purview データ損失防止 (DLP) 機能、他の Microsoft Purview ポリシーで既に使用されている分類子、コレクション ポリシーを使用して、ジェネレーティブ AI やその他の管理されていないクラウド アプリと共有されている機密データに対する洞察を提供し、保護を適用します。 ポリシーの種類または両方は、organizationのニーズに応じて使用できます。 データの検出には収集ポリシーを使用し、データ流出の防止には DLP ポリシーを使用できます。
ネットワーク データ セキュリティを使用すると、次の操作を通じて共有される機密性の高いコンテンツを特定、ブロック、およびアラートできます。
- ブラウザー、アプリ、アドイン (チャット GPT、Gemini、クロードなど) を介した生成 AI との対話。
- Dropbox、Box、Google Drive など、承認されていないクラウド ストレージ プロバイダーにアップロードされたファイル。
- Gmail などのクラウド メール プロバイダーと共有されるメールとファイルの添付ファイル。
- Google フォームを含むオンライン フォーム サービスを通じたフォームの送信。
- Facebookや X などの一般的なサービスに関するソーシャル メディア投稿。
開始する前に
Microsoft Purview コレクション ポリシー、Microsoft Purview 従量課金制課金モデル、または Microsoft Purview DLP を初めて使用する場合は、次の記事の情報を理解しておく必要があります。
ライセンス
ライセンスの詳細については、次を参照してください。
ネットワーク データ セキュリティには、Microsoft Purview 従量課金制課金モデルが必要です。 organizationが Microsoft 365 テナントの従量課金制を設定していない場合は、ネットワーク データ セキュリティ機能を使用する前に構成する必要があります。 従量課金制モデルでは、使用する Microsoft Purview 機能に対してのみ料金を支払うことができます。 柔軟性とコスト効率が高く、必要に応じて使用量をスケールアップまたはスケールダウンできるように設計されています。
重要
コレクション ポリシーを使用するには、従量課金制サブスクリプションに加えて、シートごとの E5 ライセンスが必要です。 ネットワーク データ セキュリティのみで DLP ポリシーを使用するには、従量課金制サブスクリプションだけが必要です。 その他の DLP 機能を使用する場合は、シートごとのライセンスが必要です。
従量課金制課金モデルを設定する方法については、「 新しい顧客に対して Microsoft Purview 従量課金制機能を有効にする」を参照してください。
注:
グローバル セキュリティで保護されたアクセスの統合は、現在、プレビュー中の輸送中の保護に関する従量課金制から除外されています。 ただし、Microsoft Purview コレクションまたは DLP ポリシーを設定する前に、従量課金制の課金を構成する必要があります。 その他の従量課金制の料金は、使用されている機能に基づいて引き続き適用される場合があります。
ネットワーク データ セキュリティのしくみ
広範な観点から見ると、Microsoft Purview ネットワーク データ セキュリティ ソリューションは、次の 2 つのコンポーネントを組み合わせています。
ネットワーク セキュリティ ソリューション
ネットワーク データ セキュリティ ソリューションは、セキュリティで保護されたアクセス サービス エッジ (SASE) ソリューションを Microsoft Purview に直接統合します。 ネットワーク セキュリティ ソリューションは、ネットワーク トラフィックを監視し、分類とポリシーの評価のためにデータを Microsoft Purview に送信します。 DLP ポリシーを使用して保護を適用すると、SASE ソリューションと Microsoft Purview の間の通信がリアルタイムで行われます。 収集ポリシー経由でのみ監視するためにネットワーク データ セキュリティを使用している場合、通信は非同期です。
サポートされる SASE ソリューションの詳細については、「Microsoft Purview データ損失防止統合」ページを参照してください。
重要
Microsoft 以外のパートナーと統合することを選択した場合、ユーザー識別子を含むポリシー構成にアクセスして格納できる可能性があります。 使用条件、およびプライバシー ポリシーは、このデータの使用と保存を管理します。
Microsoft Purview
Microsoft Purview とネットワーク セキュリティ ソリューションの統合は、[ DLP 設定] [ 統合 ] タブで構成します。この統合により、ネットワーク セキュリティ ソリューションと Microsoft Purview の間に双方向通信チャネルが確立されます。
次に、ネットワーク セキュリティ ソリューションが Microsoft Purview に収集して送信する条件、アクティビティ、クラウド アプリを定義する収集 ポリシー または データ損失防止ポリシー を構成します。
- ネットワーク データ セキュリティのコレクション ポリシーを作成する方法の詳細については、「 シナリオ 1 ネットワーク経由でアンマネージド クラウド アプリと共有されている機密データを検出する」を参照してください。
- ネットワーク データ セキュリティのデータ損失防止ポリシーを作成する方法の詳細については、「ネットワーク データ セキュリティを使用して、アンマネージド AI と機密情報を共有しないようにする」を参照してください。
Microsoft Purview は、適切な DLP および収集ポリシーの構成値を SASE ソリューションに送信し、SASE ソリューションは、分類とポリシーの評価のために、一致するネットワーク データを Microsoft Purview に送信します。 コレクション ポリシーで コンテンツ キャプチャ を構成すると、ユーザーと AI アプリの間で発生する完全な会話がキャプチャされ、Microsoft Purview にも送信されます。
データが分類されると、ai 用のDSPMのアクティビティ エクスプローラーとアクティビティ エクスプローラーで使用できるようになります。 データ損失防止ポリシーが一致し、アラートが構成されている場合は、 DLP アラートで使用できます。
Microsoft Purview とネットワーク セキュリティ ソリューションの統合を構成した後、ポリシーをネットワーク セキュリティ ソリューションに配布し、最初のデータが表示されるようにするには、最大 24 時間を許可します。 2 つのサービスが完全に通信すると、クライアントから Web サイトまたはクラウド アプリへの要求に関するデータが監査ログとアクティビティ エクスプローラーに表示されるまでに最大 30 分かかることがあります。
サポートされているネットワーク データ セキュリティ 収集ポリシーの構成
構成の Microsoft Purview 側は、コレクション ポリシーを使用して行われます。 サポートされている構成オプションを次に示します。
条件 - ネットワーク データ セキュリティ収集ポリシーで使用できる条件は、他の Microsoft Purview ポリシーで使用できる条件と同じです。 たとえば、 Content contains>Sensitive information types 条件を使用して、ジェネレーティブ AI やその他のアンマネージド クラウド アプリと共有されている機密性の高いアイテムを分類できます。
アクティビティ - ネットワーク データ セキュリティでは、次の 4 つのアクティビティがサポートされています。
- クラウドまたは AI アプリに送信または共有されるテキスト。
- クラウドまたは AI アプリにアップロードまたは共有されたファイル。
- クラウドまたは AI アプリから受信したテキスト。
- クラウドまたは AI アプリからダウンロードされたファイル。
注:
サポートされるアクティビティは、統合された SASE ソリューションによって異なる場合があります。 サポートされているアクティビティの詳細については、SASE ソリューション プロバイダーにお問い合わせください。
-
データ ソース - エンドポイント デバイスが通信している場所です。
- アンマネージド クラウド アプリ - ネットワーク データ セキュリティ 収集ポリシーは、35,000 を超える検出可能なクラウド アプリを含む、Microsoft Defender for Cloud Apps クラウド アプリ カタログ内のすべてのソースをサポートします。
- アダプティブ アプリ スコープ - 生成 AI、クラウド ストレージ、コラボレーション、ソーシャル ネットワーク、Webmail など、複数のカテゴリのすべてのアプリ。
サポートされているネットワーク データ セキュリティ データ損失防止ポリシーの構成
構成の Microsoft Purview 側は、データ損失防止ポリシーを使用して行われます。 サポートされている構成オプションを次に示します。
データ ソース - エンドポイント デバイスが通信している場所です。
- アンマネージド クラウド アプリ - ネットワーク データ セキュリティ 収集ポリシーは、35,000 を超える検出可能なクラウド アプリを含む、Microsoft Defender for Cloud Apps クラウド アプリ カタログ内のすべてのソースをサポートします。
- アダプティブ アプリ スコープ - 生成 AI、クラウド ストレージ、コラボレーション、ソーシャル ネットワーク、Webmail など、複数のカテゴリのすべてのアプリ。
条件 - ネットワーク データ セキュリティ収集ポリシーで使用できる条件は、他の Microsoft Purview ポリシーで使用できる条件と同じです。 たとえば、 Content contains>Sensitive information types 条件を使用して、ジェネレーティブ AI やその他のアンマネージド クラウド アプリと共有されている機密性の高いアイテムを分類できます。
アクション - ネットワーク データ セキュリティでは、次のアクティビティに対 して監査のみの アクションと ブロック アクションがサポートされています。
- クラウドまたは AI アプリに送信または共有されるテキスト。
- クラウドまたは AI アプリにアップロードまたは共有されたファイル。
- クラウドまたは AI アプリから受信したテキスト。
- クラウドまたは AI アプリからダウンロードされたファイル。
注:
サポートされるアクティビティとアクションは、統合された SASE ソリューションによって異なる場合があります。 サポートされているアクティビティの詳細については、SASE ソリューション プロバイダーにお問い合わせください。
AI 用 Microsoft Purview データ セキュリティ態勢管理からの既定のポリシー
AI 用 Microsoft Purview データ セキュリティ態勢管理 (AI 用DSPM) には、生成型 AI アプリとの通信を監視するのに役立つ推奨事項が用意されています。 [AI アプリの相互作用で機密データに分析情報を拡張する] の推奨事項を選択して、AI のDSPMという名前のワンクリック ポリシーを作成します。ネットワーク経由で AI と共有されている機密情報を検出します。 作成した後、この既定のポリシーを編集して、コレクション ポリシーと同様にネットワーク データ セキュリティを行うことができます。
サポートされているネットワーク プロトコル
プレビューでは、ネットワーク データ セキュリティでは、HTTP プロトコルと HTTPS プロトコルを介してエンドポイント デバイスから Web サイト、クラウド アプリ、および生成型 API に送信されるトラフィックの分類がサポートされています。
ネットワーク データ セキュリティ データへのアクセス
ネットワーク データ セキュリティからのデータは、アクティビティ エクスプローラー、アクティビティ エクスプローラー イベントAI 用データ セキュリティ態勢管理、アラートが有効になっている場合は DLP アラートに表示されます。
アクティビティ エクスプローラー
アクティビティ エクスプローラーでは、適用プレーンをネットワークに設定してフィルター処理できます。 このフィルターは、ネットワーク データ セキュリティ収集ポリシーによって生成される分類イベントを示します。
課金モデル
ネットワーク データ セキュリティは、従量課金の目的で 要求 を測定単位として使用します。 要求は、デバイスまたはブラウザーから Web サイトまたは API への各ネットワーク呼び出しです。 この定義には、要求への応答は含まれません。 ネットワーク データ セキュリティの従量課金制の詳細については、「従量課金制の価格と要求を使用するその他の Microsoft Purview ソリューション」を参照してください。
次に、いくつかの例を示します:
| アクティビティ | データ型 | 例 |
|---|---|---|
| クラウドまたは AI アプリに対して送信または共有されるテキスト | インラインで送信される人間の読み取り可能な文字列 | - テキスト情報を含むフォームを送信する - 生成的な AI に生のテキストまたはプロンプトを送信する - 電子メールの本文 - JSON データを API に送信する |
| クラウドまたは AI アプリに対してアップロードまたは共有されるファイル | バイト ストリーム (テキスト ベースのファイル、バイナリ ファイル、txt ファイル、ソース コード、ドキュメント、画像、ビデオ、.exe、.pdf、アーカイブ ファイルを含む) | - ソーシャル メディア にプロファイル画像をアップロードする - ドキュメントまたは .pdf ファイルを電子メール添付ファイルとして送信 - 生成 AI とドキュメントを共有する - ドキュメントまたは .zip ファイルをクラウド ストレージ ソリューションに転送する |
次の手順
- シナリオ 1 アンマネージド クラウド アプリと共有されている機密データをネットワーク経由で検出する (プレビュー)
- ネットワーク データ セキュリティを使用して、アンマネージド AI との機密情報の共有を防ぐ
- ネットワーク ファイル フィルタリングに Entra Global Secure Access を使用する場合は、 ネットワーク ファイルのコンテンツをフィルター処理するファイル ポリシーを作成します (プレビュー)